Google hat 17 Android Apps aus dem offiziellen Play Store entfernt. Die 17 Anwendungen, die von Sicherheitsforschern von Zscaler entdeckt wurden, waren mit der Malware Joker (alias Bread) infiziert.
„Diese Spyware ist darauf ausgelegt, SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen und das Opfer stillschweigend für Premium-WAP-Dienste (Wireless Application Protocol) anzumelden“, erklärte der Sicherheitsforscher von Zscaler, Viral Gandhi.
Die 17 bösartigen Apps wurden diesen Monat in den Play Store hochgeladen und wurden mehr als 120.000 Mal heruntergeladen, bevor sie entdeckt wurden.
Hier die Namen der 17 Apps:
Gemäß seinen internen Verfahren entfernte Google die Apps aus dem Play Store und nutzte den Play Protect-Dienst, um die Apps auf infizierten Geräten zu deaktivieren. Aber die Nutzer müssen weiterhin manuell eingreifen und die Apps von ihren Geräten entfernen.
Dieser jüngste Fall ist die dritte derartige Aktion des Google-Sicherheitsteams gegen eine Reihe von Joker-infizierten Apps in den letzten Monaten.
Google entfernte sechs solcher Apps zu Beginn des Monats, nachdem sie von Sicherheitsforschern von Pradeo entdeckt und gemeldet worden waren.
Im Juli entfernte Google weitere Joker-infizierten Apps, die von Sicherheitsforschern von Anquanke entdeckt worden waren. Diese waren seit März aktiv und hatte es geschafft, Millionen von Geräten zu infizieren.
Die Art und Weise, wie diese infizierten Apps es normalerweise schaffen, sich an Googles Abwehr vorbei in den Play Store zu schleichen, ist eine Technik namens „Dropper“, bei der das Gerät des Opfers in einem mehrstufigen Prozess infiziert wird. Diese Technik ist recht einfach, aber aus der Sicht von Google schwer zu verteidigen.
Malware-Autoren beginnen damit, die Funktionalität einer legitimen Anwendung zu klonen und sie in den Play Store hochzuladen. Diese App ist voll funktionsfähig, fordert den Zugriff auf gefährliche Berechtigungen an, führt aber auch keine bösartigen Aktionen aus, wenn sie zum ersten Mal ausgeführt wird.
Da die böswilligen Aktionen in der Regel um Stunden oder Tage verzögert werden, erkennen die Sicherheitsscans von Google den böswilligen Code nicht, und Google gestattet in der Regel die Aufnahme der App in den Play Store.
Sobald die App jedoch auf dem Gerät eines Nutzers installiert ist, lädt sie schließlich andere Komponenten oder Anwendungen herunter, die die Joker-Schadsoftware oder andere Malware-Stämme enthalten, und legt sie auf dem Gerät ab (daher die Namensdropper oder Loader).
Die Joker-Familie, die Google intern als Bread verfolgt, ist einer der eifrigsten Nutzer der Dropper-Technik. Dies wiederum hat es Joker ermöglicht, sich im Play Store – dem Heiligen Gral der meisten Malware-Operationen – mehr als viele andere Malware-Gruppen durchzusetzen.
Im Januar veröffentlichte Google einen Blog-Eintrag, in dem es Joker als eine der hartnäckigsten und fortschrittlichsten Bedrohungen beschrieb, mit denen es in den letzten Jahren zu tun hatte. Google gab an, dass seine Sicherheitsteams seit 2017 mehr als 1.700 Apps aus dem Play Store entfernt haben.
Doch Joker ist weitaus weiter verbreitet und findet sich auch in Apps, die in Android-App-Stores von Drittanbietern hochgeladen wurden. Alles in allem wurden laut Anquanke mehr als 13.000 Joker-Proben entdeckt, seit die Malware erstmals im Dezember 2016 entdeckt wurde. Der Schutz vor Joker ist schwierig, aber wenn Benutzer bei der Installation von Anwendungen mit breiten Zugriffsrechten etwas Vorsicht walten lassen, können sie eine Infektion vermeiden.
Bitdefender meldete zudem dem Sicherheitsteam von Google weitere bösartigen Anwendungen. Einige dieser Apps sind immer noch im Play Store verfügbar. Bitdefender verriet nicht die Namen der Apps, sondern nur die Namen der Entwicklerkonten, von denen sie hochgeladen wurden. Benutzer, die Apps dieser Entwickler installiert haben, sollten diese sofort entfernen.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…